Botnets könnten in Roboter-Hackern auf ihre Kosten kommen

Letzten Sommer veranstaltete das Pentagon in Las Vegas einen Wettbewerb, bei dem Hochleistungscomputer 12 Stunden lang versuchten, sich gegenseitig zu hacken, um einen Geldbeutel von 2 Millionen Dollar zu bekommen. Jetzt beginnt Mayhem, die Software, die gewonnen hat, ihre Hacking-Fähigkeiten in der realen Welt einzusetzen.





Mayhem wurde von Security Startup erstellt FürAlleSicher , mitbegründet von Carnegie Mellon-Professor David Brumley und zwei seiner Doktoranden. Laut Brumley hat das Unternehmen damit begonnen, Mayhem so anzupassen, dass Fehler in bestimmten Arten von kommerzieller Software, einschließlich der von Internetgeräten wie Routern, automatisch gefunden und behoben werden können.

Derzeit laufen Tests mit nicht genannten Partnern, darunter einem Hersteller von Internetgeräten, um festzustellen, ob Mayhem Unternehmen dabei helfen kann, Schwachstellen in ihren Produkten schneller und umfassender zu identifizieren und zu beheben. Der Schwerpunkt liegt auf der Bewältigung der Herausforderung von Unternehmen, die beträchtliche Ressourcen aufwenden müssen, um Jahre vergangener Produkte mit Sicherheitsupdates zu unterstützen. Ende letzten Jahres nutzten Hacker ein riesiges Botnet aus kompromittierten Internetgeräten wie Kameras, um Websites wie Reddit und Twitter lahmzulegen.

Wenn heute eine Maschine kompromittiert wird, dauert es Tage oder Wochen, bis jemand es bemerkt, und dann Tage oder Wochen – oder nie – bis ein Patch veröffentlicht wird, sagt Brumley. Stellen Sie sich eine Welt vor, in der ein Hacker beim ersten Ausnutzen einer Schwachstelle nur einen Computer ausnutzen kann, der dann gepatcht wird.

Letztes Jahr, Brumley veröffentlichte Ergebnisse von fast 2.000 Router-Firmware-Images durch einige der Techniken, die Mayhem angetrieben haben. Über 40 Prozent, die 89 verschiedene Produkte repräsentierten, hatten mindestens eine Schwachstelle. Die Software fand 14 zuvor unentdeckte Schwachstellen, die 69 verschiedene Software-Builds betreffen. ForAllSecure arbeitet auch mit dem Verteidigungsministerium an Ideen, wie Mayhem in der realen Welt eingesetzt werden kann, um Schwachstellen zu finden und zu beheben.

Der Cyber ​​Grand Challenge-Wettbewerb, den Mayhem letztes Jahr gewonnen hat, wurde von der Defense Advanced Research Projects Agency des Pentagon, DARPA, inszeniert, um die Forschung zu der Idee anzuregen, einen Teil der Arbeit von Sicherheitsexperten zu automatisieren. Die Teams betraten Software, die eine Sammlung von Serversoftware patchen und schützen musste, während sie gleichzeitig Schwachstellen in den Programmen unter der Leitung ihrer Konkurrenten identifizierten und ausnutzten. (DARPA hat behauptet, dass die Förderung der Entwicklung der Technologie im Freien dazu führen wird, dass sie hauptsächlich für defensive und nicht für offensive Zwecke verwendet wird.)

Giovanni Vigna , Professor an der University of California, Santa Barbara, sagt, dass Bemühungen, Techniken aus dem DARPA-Bot-Kampf praktisch anzuwenden, wichtig sind. Aber er sagt, Träume von automatisierten Hackern, die alle Sicherheitslücken der Welt beseitigen, seien unrealistisch, da Menschen ihre Arbeit immer noch überprüfen müssten.

Angenommen, Sie sind ein Router-Unternehmen. Diese Leute werden keinen Patch bereitstellen wollen, der keine Qualitätssicherung hat und alle ihre Geräte offline schalten könnte, sagt er. Vigna leitete das Team, dessen MechanicalPhish-Software letzten Sommer beim DARPA-Wettbewerb den dritten Platz belegte. Die Software wurde als Open Source veröffentlicht damit andere damit experimentieren können.

Brumley erkennt dieses Problem an. Viele Menschen – auch in der US-Regierung – ziehen es vor, einen Menschen auf dem Laufenden zu halten, anstatt automatisierte Software die Show laufen zu lassen, sagt er.

Ich bin nicht dagegen, aber ich habe das Gefühl, dass es den Prozess verlangsamt, sagt Brumley. Er hofft, dass autonome Hacker und Fixer, wenn sie ihren Wert unter Beweis stellen, mit weniger menschlicher Aufsicht arbeiten dürfen.

verbergen